Yetersiz düzeltme eki raporlarından endişe duyan güvenlik uzmanları toplulukları, Chrome Açık Kaynak Yazılımı (OSS) tarayıcısında sıfırıncı gün güvenlik açığını düzeltmeye çağırdı. Google, yamayı 14 Nisan’da yayınladı.
Microsoft, kullanıcıları ve şirketleri acil durum düzeltme ekini kullanarak Edge sürüm 112.0.1722.48’e yükseltmeye çağırdı. Chromium tabanlı Microsoft Edge, 15 Ocak 2020’de piyasaya sürüldü.
“Microsoft, vahşi ortamda var olan son istismarların farkındadır. Bir güvenlik düzeltmesi yayınlamak için aktif olarak çalışıyoruz,” dedi Microsoft yamanın duyurusu.
Önem derecesi yüksek olan CVE-2023-2033 güvenlik açığı, bilgisayar korsanlarının yama uygulanmamış cihazlarda yığın bozulmasından yararlanmasına izin verebilir. Hackerearth tarafından yazılan bir makaleye göre, “Yığın, ağacın tüm düğümlerinin belirli bir sırada olduğu ağaç tabanlı bir veri yapısıdır”.
Chrome’da sıfır gün güvenlik açığı
Chrome’da aktif olarak kullanılan sıfır gün güvenlik açığı, V8 Javascript motorunda bir tür karışıklığı sorunuydu. Geçen yıl Google, yaklaşık dokuz sıfır gün güvenlik açığını yamaladı.
Yığın bozulmasını bir HTML sayfası aracılığıyla kullanmak, belleğe program tarafından erişilemez hale gelirken bir bellek sızıntısına neden olabilir.
Chrome’daki bu sıfır gün güvenlik açığı, harici araştırmacılar tarafından uyarıldı ve Windows, Mac ve Linux tabanlı cihazlarda yama yapılması gerekiyor.
Chrome’daki sıfır gün güvenlik açığı, bellekten yararlanıldıktan sonra tarayıcının çökmesine de yol açacaktı. Bilgisayar korsanları ayrıca keyfi kodlar çalıştırabilir ve etkilenen ağlar üzerindeki etkiyi artırabilir.
Google, bundan sonra istismar vakaları veya etkisi hakkında herhangi bir açıklama yapmadı. İletişim devi, gelecekteki güncellemelerde ek ayrıntılar yayınlayacak.
Hata, güncellemeleri manuel çabayla otomatik olarak kontrol edebilir ve yükleyebilir.
Google’daki diğer sıfır gün güvenlik açıkları
Kısa bir süre önce Google, sıfır gün güvenlik açıkları hakkında bir rapor yayınladı ve satıcıların, güvenlik bültenlerindeki hataların vahşi doğada bulunan istismarı hakkında aktif olarak uyarı vermeyi kabul ettiğini belirtti. Ayrıca, bellek bozulması kusurlarını azaltmaya odaklanarak, istismar örneklerini ilgili teknik ayrıntılarla paylaşmayı kabul ettiler.
Rapor ayrıca, bir dönemde bulunan 0 gün arasındaki farkı vurgulayan bir grafiği de içeriyordu.
2018’de 0 günlük güvenlik açıklarının sayısındaki düşüşün ardından en yüksek artış 2021 yılında görüldü.
“Geçtiğimiz birkaç yılda saldırganlar tarafından 0 günlük açıklardan yararlanmaya yönelik ilgi ve yatırımda istikrarlı bir artış olduğuna ve güvenliğin hâlâ acilen iyileştirilmesi gerektiğine inanıyor olsak da, güvenlik endüstrisinin saldırıları tespit etme ve ifşa etme yeteneği görünüyor. -wild 0-day exploits, 2021’de gözlemlenen 0-day exploitlerdeki artışın birincil açıklamasıdır,” diye yazıyor Google raporu.
Yama yönetimi ve sıfır gün
“Sıfır gün güvenlik açığı, resmi yama veya güvenlik güncellemesi yayınlanmamış bir yazılım hatasıdır. Bir yazılım satıcısı güvenlik açığından haberdar olabilir veya olmayabilir ve bu risk hakkında genel bir bilgi mevcut değil” dedi.
Sıfır gün güvenlik açıklarının genellikle yüksek önem düzeylerine sahip olduğu ve aktif olarak istismar edildiği belirtildi.
Bir Trend Micro raporu, “Sıfır gün açıklarından yararlanmalar, yalnızca yasal hata ödül programlarında (hatta biri 2 milyon ABD dolarına kadar çıkabiliyor) çok değerli olmakla kalmaz, aynı zamanda yer altı pazarlarında da değerlidir” dedi.
“Tehdit aktörleri için sıfır gün istismarları bir nimet çünkü çoğu güvenlik savunması bilinen açıkları ele alacak şekilde tasarlandı. Bilinmeyen ve yama uygulanmayan güvenlik açıklarına dayalı saldırılar bu nedenle uzun süre fark edilmeden kalabilir.”
Trend Micro raporuna göre, bir sıfırıncı gün saldırısının etkinliği, kuruluşun bir güvenlik kusurunun tanımlanması ile bu açığı gidermek için bir yamanın uygulanması arasındaki süre olan “teşhir penceresi”ne bağlıdır.
Halihazırda bilinen güvenlik açıkları bile, kuruluşun yama yönetimi uygulamaları veya yamayı oluşturmanın karmaşıklığı nedeniyle önemli bir maruz kalma aralığına sahip olabilir. Daha uzun bir maruz kalma penceresi, bir saldırının fark edilmeme olasılığını artırır.